LOADING...
LOADING...
LOADING...
当前位置: 玩币族首页 > 币圈百科 > DeFi最近遭受的高额损失是该行业的教训

DeFi最近遭受的高额损失是该行业的教训

2020-05-08 wanbizu AI 来源:区块链网络

DAO的“ hack”深入到了加密货币社区的集体记忆中。在2016年5月的众筹非常成功之后,DAO持续了一个多月的时间,然后攻击者开始从智能合约中抽出资金,价值约7000万美元的以太(ETH)。

但是,正如当时的一些人指出的那样,DAO事件根本不是黑客。攻击者只是利用基础智能合约代码中的漏洞,使其以程序员无法预期的方式运行。然而,在决定实施硬分叉以退还资金之后,该事件使以太坊社区分裂。

快进到2020年初,去中心化金融中捆绑了价值超过10亿美元的加密货币。在智能合约的管理下,这是10亿美元。因此,根据历史,某人最终会找到使这些应用程序以前所未有的方式执行的方法,这是不可避免的。第一次是在2020年2月,对bZx去中心化交易平台进行了两次单独攻击。最近,一名黑客从dForce运营的中国借贷平台Lendf.me盗走了2500万美元。

即使不涉及黑客,DeFi应用程序也显示了其他漏洞。在3月中旬加密货币的“黑色星期四”期间,由于ETH价格暴跌,MakerDAO清算了价值超过400万美元的贷款。飞机坠毁导致了快速的治理投票和债务拍卖以弥补损失。

许多评论集中在DeFi是否可以从这些挫折中恢复过来。根据DAO事件的历史,DeFi不可避免地会复苏。也许更相关的问题是,DeFi DApp操作员可以从此类事件中学到什么,以帮助避免将来发生这些事件?

dForce轻松赚钱

涉及Lendf.me黑客的最新事件提供了一些轻松的机会。该平台是中国最大的贷款DApp。然而,事实证明,黑客入侵是由于dForce从另一个分散的借贷应用程序Compound的早期版本复制了代码。复合材料的旧代码无法防范专门针对ERC-777令牌的那种称为“重入”的攻击。

由于这个问题,化合物不支持ERC-777令牌。但是,似乎dForce复制该代码时,并没有真正理解此漏洞,因为它没有采取相同的措施,从而允许在Lendf.me上使用ERC-777令牌。因此,攻击者利用了该漏洞,使用ERC-777 imBTC令牌从平台中耗费了2500万美元。

自那以后,黑客已经退还了这笔资金,但这本身并不是一种防御。正如Cointelegraph报道的那样,dForce因未能采取足够的措施来防止此类攻击而受到批评。因此,如果假设dForce根本不了解该问题,那么他们如何避免该问题?基于EOS的稳定币EOSDT的发行人Equilibrium的首席执行官兼联合创始人Alex Melikhov非常喜欢同行评审的想法。他告诉Cointelegraph,“第三方进行代码审查可以防止此事件发生,”并补充说:

“这里的一个重要方面是建立测试框架和代码审核。四眼原则非常适用于代码开发,并且一定可以缓解漏洞风险。尽管dForce与PeckShield进行了合作(PeckShield已公开审核了其USDx和Yield Enhancing协议),但似乎审计师尚未审查其LendfMe贷款协议的代码。”

中央贷款平台Cred的首席执行官兼联合创始人Dan Schatt表示同意,甚至暗示社区可以在这里发挥作用。他对Cointelegraph表示:“ Bug赏金有助于激励社区寻找可能导致攻击和利用这些类型漏洞的漏洞类型。”

在发布之时,dForce已确认通过其资产重新分配工作已将100%受攻击影响的用户退款。 dForce确实回应了Cointelegraph的置评请求。 dForce的创始人杨敏道表示:

“在发布之前,Uniswap / imBTC池黑客遭到了类??似的攻击 [Lendf.me] 事件。与ERC777令牌相关的Uniswap漏洞自2018年末以来就已为人所知,但ERC777令牌和引入可重入攻击面的Compound V1代码的组合仅在事件发生后引起我们注意。当Uniswap / imBTC池发生黑客攻击时,我们可能会更加警惕,而在加入新资产时可能会更加谨慎。”

Yang继续说,该平台计划避免类似的攻击,并将在将来加入一些外部专家的行列:

“我们将聘请一流的第三方安全顾问来协助进行全面审核,并帮助我们加强未来的安全实践。我们将找到合适的时间来重新部署新的分散式货币市场协议和其他协议。向前迈进,在他们的帮助下,将资产引入dForce生态系统时,我们将引入严格的,经过审核的集成过程。”

发言人确认,将在以后的博客文章中分享在这方面采取的行动的更多细节。

BZx-一个更复杂的问题

在最近的dForce事件之前,DeFi交易平台bZx在一周内被击中两次。这些攻击归结为漏洞代码,而不是总体而言加密货币空间的不成熟和相对较低的流动性。衍生产品交易(无论是集中式交易还是分散式交易)都依赖于价格预言。这些通常是使用多个交易所的平均价格从现货市场上获取的。

在DeFi平台的情况下,价格信息来自Uniswap和Kyber等去中心化交易所。问题在于,由于某些令牌在这些平台上的流动性较低,因此操纵价格相对容易。

相关:BZx Flash贷款攻击是否预示着DeFi的结束?

BZx很好地处理了这一事件,从保险基金中弥补了90万美元的用户损失。 Deribit研究人员Su Zhu和Hasu先前已经解释过,即使在诸如BitMEX的集中式交易所中,价格预言系统也容易受到操纵。在DeFi中,依赖分散式交易所获取价格预告片数据,可以说这是意外事故。

但是,它提出了一个有趣的难题-解决挑战的唯一方法是吸引更多的用户向DEX中注入流动性以减轻操作的脆弱性。但是,只要存在资金可能耗尽的风险,DeFi就会很难吸引用户。

关键漏洞

最后,转向最近的“黑色星期四”事件,该事件导致MakerDAO大量清算:尽管价格暴跌完全超出了Maker的控制范围,但有什么可以借鉴的呢?

3月的崩盘及随后的清算导致投票人更改了Maker的拍卖参数,并推出了USDC,这是一种与加密货币市场无关的抵押资产类型。毫无疑问,DeFi反对者会嘲笑需要由集中的等价物抵押的由加密货币支持的稳定币。

但是,也许Maker推出的USDC在社区认识到一定成熟度之后,即DeFi市场的年轻时代意味着它需要遵循相对稳定,集中化的同行的榜样,直到能够站稳自己的两只脚为止。毕竟,Maker的创始人Rune Christensen最近在接受采访时对Cointelegraph表示,他相信DeFi最终将与CeFi合并,这说明Maker的使用USDC可能是此举的早期预测。

今年已经达到10亿美元的里程碑,这是一个问题,DeFi将在何时(而不是是否)从这些挫折中恢复并再次收回这个数字。但是,这些挫折完全发生了,这说明DeFi创始人不应该专注于该领域的发展,而应该专注于该领域的发展。从最近的事件中吸取教训,就有可能更快地康复。

—-

原文链接:https://cointelegraph.com/news/defis-recent-costly-setbacks-serve-as-lessons-for-the-sector

原文作者:Cointelegraph By Nikolai Kuznetsov

编译者/作者:wanbizu AI

玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。

LOADING...
LOADING...